(转载)Bro:一个开放源码的高级NIDS系统

最新推荐文章于 2020-10-09 16:22:42 发布
最新推荐文章于 2020-10-09 16:22:42 发布
阅读量3.5k 收藏 1
点赞数 1
分类专栏: 协议分析/网络安全/攻击手段 入侵检测技术 文章标签: 脚本 正则表达式 引擎 网络 header tcp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kendiv/article/details/478427
版权
Bro:一个开放源码的高级NIDS系统创建时间:2003-10-12文章属性:原创文章提交:stardust (stardust_at_xfocus.org)在介绍Bro之前先总结一下几个常见的开放源码NIDS系统:Snort ( http://www.snort.org/ )目前最著名最活跃的开放源码NIDS项目,定位于轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析工具,
摘要由CSDN通过智能技术生成

Bro:一个开放源码的高级NIDS系统


创建时间:2003-10-12
文章属性:原创
文章提交: stardust (stardust_at_xfocus.org)

在介绍Bro之前先总结一下几个常见的开放源码NIDS系统:

Snort ( http://www.snort.org/ )
目前最著名最活跃的开放源码NIDS项目,定位于轻量级的入侵检测系统,已经实现了网络探测器和许多第三方的管理及日志分析工具,广泛使用在对检测准确性要求不高的非高速网络环境下。对其进行介绍及分析资料辅天盖地,国内当前大多数的IDS产品都是在其基础上修改出来的。Snort的成功之处在于其高效的整体设计编码、简洁明了的规则描述设计及已经成一定规模的攻击检测规则集,它的规则集已经被很多其他开放源码IDS项目所兼容。

Prelude IDS ( http://www.prelude-ids.org/ )
目前比较活跃的开放源码混和IDS项目,比较注重IDS各组件的模块化设计,组件之间使用标准IDMEF格式进行通讯,从设计的方式来看定位于适应大型网络的需求,当前已经实现了网络探测器、日志分析器、告警信息集中查看分析工具。其网络探测器部分基本上翻版了Snort的功能,完全兼容Snort的规则集。

Firestorm ( http://www.scaramanga.co.uk/firestorm/index.html )
不太出名的开放源码NIDS项目,目前仅实现了探测器部分,完全兼容Snort的规则集,功能上也基本上差不多,可以把告警信息记录到Prelude IDS的管理器,但自称性能上比Snort强很多。

NetSTAT ( http://www.cs.ucsb.edu/~rsg/STAT/ )
一个学术界的开放源码的IDS项目,基于STAT(State Transition Analysis Technique,状态迁移分析技术)描述攻击的研究成果,使用特有的STATL语言描述攻击,攻击描述文本被STATL解释工具转换为C++代码编译进检测引擎来实现检测功能,目前已经发布了STATL语言解释转换工具及一个基本的示例网络探测器部分(很少的几个检测功能例子)。要熟练使用这个IDS工具需要比较强的编程功底,但用此IDS可以实现很复杂的检测功能。

可以看到当前大多数开放源码的NIDS项目都以Snort为基础,还有一些主要用于学术研究的IDS(比如NetSTAT),Snort是用于了解NIDS技术的很好入门方式,学术领域的IDS主要用于验证某些思想概念的可行性,这类IDS一般实现使用复杂,注重检测的严谨准确,如果商业化还需要很大的努力。Snort实现简单,使用方便,但本质上只是一个可以匹配分析数据包payload的嗅探器而已,对于有丰富网络知识的网管来说是个称手的网络流量过滤分析工具。由于只能对TCP/UDP/ICMP数据包的payload及某些数据包属性做些简单的匹配操作,而且没有特定的规则关联机制,Snort对于攻击的检测只能是粗线条的。当前的主流商业NIDS产品已经普遍采用细致的应用层协议分析技术,应用层协议分析技术不仅能够极大地提高检测准确性和效率,更能带来基于协议分析的异常检测能力,基于规则类似病毒检测的方式只能检测已知攻击,而基于异常分析的检测却可能检测到某些未知攻击,这点是新NIDS产品的发展热点和方向,基于异常并结合误用的IDS产品将会是未来IDS/IPS产品的主流。Snort虽然对一些应用层协议如HTTP、PORTMAP、TELNET做了些简单的解码和处理,这些处理只是对匹配做的一些优化,远没有到协议分析的程度,Snort与当今主流IDS产品的差距越来越大,相对而言越来越落后,学习参考的价值越来越少。是不是存在技术上更有意思的开放源码的NIDS项目呢,我注意到了一个叫Bro的NIDS软件,它几乎提供了一切所希望见到的特性。

下面介绍一下Bro ( http://www.icir.org/vern/bro-info.html ),本文旨在分析Bro本身提供的一些很有意思且很有用的功能特性,不对其如何安装、配置、使用做介绍,那部分的内容可以参考软件包中的相关说明。

Bro是一个Vern Paxson实现的实时网络入侵检测软件,于98年对外发布,BSD license,它的最初设计目标是实现一个在100M网络下实时告警、机制与策略分离、高可扩展性的入侵检测及网络监视审计系统。

Bro的系统结构如下图示:
            
                      | 下发          ^ 实时
                      V 策略          | 告警
                   +-----------------------------+
                   |        策略脚本解释器       |
                  
最低0.47元/天 解锁文章
Kendiv
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全·网络入侵检测系统
不忘初心,护天下安全!
04-11 7752
网络入侵检测系统 从前面的学习中,我们学会了获取和监听流量,然而想实际为网络安全防护提供技术支撑,就要做成网络入侵检测系统(network intrusion detection system,NIDS),对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测。 网络入侵检测系统通常包括三个必要的功能组件:信息来源、分析引擎和响应组件。 信息来源:它负责收集被检测网络系统的各种信息,并把这些信息作为资料提供给IDS分析引擎组件。 分析引擎:它利用统计或规则的方式找
开源入侵检测系统—Snort安装
negnegil的博客
10-18 4453
Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。 安装系统:虚拟机CentOS7 首先安装 web 服务组件 LAMP Apache #apache yum install httpd httpd-devel #启动ahache systemctl start httpd #
bro研究学习
Leeboy_Wang的专栏
01-25 3456
脚本学习: bro的默认脚本/usr/local/bro/share/bro每次更新版本都会被重新覆盖,除了/usr/local/bro/share/bro/site这个文件可以自定义修改,不会被覆盖 其中核心为base和policy /usr/local/bro/share/bro/base处理收集网络活动基本的有用的状态或提供框架程序扩展功能脚本,程序会自动加载他,带来的代价不高 po
信息安全体系建设☞开源入侵检测系统NIDS
infosec的博客
10-09 2388
我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去。比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去,不能进来。但是具体是什么样的人可以进来?什么样的人不能够进来?这个功能防火墙无法满足。入侵检测系统恰恰能够弥补防火墙的这个缺点。对数据包进行深度检测,同时可以利用特征库或者白名单管控网络,也可以通过杀毒引擎对进出的数据包进行病毒查杀。 商业化的入侵检测系统有很多,他们当中很多都是通过开源的入侵检测系统进化而来
推荐一个大型开放源码高级NIDS系统--Prelude IDS
07-05 210
Prelude IDS各组件基于模块化设计,组件之间使用标准IDMEF格式进行通讯,定位于大型分布式网络的监控需求.并且无缝集成Snort, honeyd, Nessus Vulnerability Scanner, Samha...
fiasko_bro:另一个静态python代码验证器
05-14
菲亚斯科兄弟当flake8还不够时。 Fiasko是用于Python代码的静态分析工具,可捕获常见的样式错误。例子从命令行:$ fiasko -p ~ /projects/fiasko_brocommit_messages_from_blacklist add files via uploadtoo_many_...
slot-bro:高级浏览器扩展框架
05-22
Slot-Bro:用于构建浏览器扩展的小型框架 Slot-bro一个小型高级扩展框架,考虑了简单性和模块化性。 当前,我们使用Kango Framework作为抽象层,因此我们可以为所有主要浏览器生成扩展,但IE和Opera <= 12除外...
bhr-bro:BHR工具集的Bro集成
05-04
BHR的兄弟集成用法在local.bro中: @load ./bhr-broredef BHR::block_types += { Scan::Port_Scan, Scan::Address_Scan,};#optionalredef BHR::default_block_duration = 60mins;redef BHR::block_durations += { ...
tic-tac-bro:刺耳的脚趾溜溜球
03-06
“Tic-Tac-Bro: 刺耳的脚趾溜溜球”是一个独特的命名,实际上它指的是一个基于井字游戏(Tic-Tac-Toe)的项目。井字游戏是一种简单的策略游戏,由两个玩家轮流在3x3的格子上放置“X”或“O”,目标是连成一线(横向...
入侵检测系统
02-28
入侵检测系统 Распознованиекомпьютерныхатакспомощьюпараметровсетевоготрафиканаосновенейронныхсетей
NIDS-Anomaly Traffic Detection-开源
07-09
本项目提出了一种在线实时网络入侵检测系统(Real-Time NIDS),它可以在很短的时间单位内确定局域网是否遭受洪水攻击。
Firestorm NIDS网络入侵检测系统
12-03
Firestorm NIDS一个性能非常高的网络入侵检测系统 (NIDS)。目前,它只是一个“传感器”,但是计划包括对分析、报表、远程控制和自动传感器配置的支持。它是完全插件式的,因此非常灵活。
利用静态分析加固开源入侵检测系统(IDS)的最佳实践
02-25
NSM是“在对各种入侵进行检测和响应过程中,所涉及到的标识和警告环节的收集、分析和问题升级”。NSM的核心功能包括入侵检测系统(IDS),基于网络的IDS(NIDS),主机入侵检测系统(HIDS)和物理入侵检测系统(物理IDS)。分析人员在部署之前应当评估诸如IDS和HIDS的软件包。我们可以用许多不同的方法来评估给定软件包的安全水平,而其中的一种是使用Aberlarde安全系统工程法。这种方法在软件开发生命周期(SDLC)的各个阶段详细评估了商业和开源软件包的安全特性。检查开源软件的优势在于可以直接访问它们的代码。通过这种直接访问的方式,开发人员可以使用诸如代码检查和静态代码分析的各种技术。
Algorithm-bro:这是算法的思维实践
02-09
算法兄弟这是算法的思维实践,我想使用这个项目来提高我的算法思维水平,我知道这很困难而且极具挑战性,但是它可以为我打开新世界的大门,对我的职业有利。 算法也可以成为我的兄弟! 所有人都争取尽早实现财务自由...
bro简介
Kagamigawa Noelle
10-11 2067
开源的被动流量分析器 支持在安全域之外进行大范围的流量分析(性能评估和错误定位) 部署bro之后,站点可以获得一个非常详细的记录网络行为的日志文件(所有线路上可见的每个连接,应用层传输如http会话以及请求的url,关键头,mime类型,dns请求和回应,ssl证书,smtp会话的关键内容等)。 Bro还有强大的内建函数来完成分析和检测任务,比如从http会话中抽取文件,检测恶意软件,报告脆...
Bro 快速入门
mhpmii的专栏
10-26 9049
Bro 快速入门@(教程)[Bro]写在前面 Bro 通过源码安装之后默认安装路径是 /usr/local/bro 通过源码安装可以通过make doc 命令生成完整的文档 1. 需要python 2.5 以上版本 2. 需要安装 Sphinx (sudo easy_install Sphinx ) 3. 需要安装 Doxygen(sud apt
【开源】bro学习整理记录
roshy的专栏
03-26 6467
一、功能概述 BRO一个开源功能强大的流量分析工具,主要用于协议解析、异常检测,行为分析等,bro还为用户提供了事件驱动的bro脚本语言。 协议解析 站点部署BRO所能获得的最直接好处就是获得日志文件的扩展集,这些文件在高层次记录网络的行为。这些日志文件不仅全方位记录了所有线路上可见的每个连接,还记录了应用层传输,例如HTTP会话以及请求的URL、关键头、MIME类型、服务器反馈,DNS请...
IDS研究之Bro和snort的比较分析
yanwenyuan0102的专栏
05-10 9302
概述:Snort实现简单,使用方便,原本只是一个可以匹配分析数据包payload的嗅探器,但是版本2.0后升级改进了很多,也实现了一些根据应用层协议来实现特征匹配。Bro事件生成引擎中实现的应用层协议功能比Snort多, 目前版本0.9a11版本支持的应用分析器有DNS Analyzer, Finger Analyzer, Ftp Analyzer, Http Analyzer, Ident
如何构造一个入侵检测系统
最新发布
03-31
构造一个入侵检测系统的步骤如下: 1. 确定系统的目标:首先需要确定入侵检测系统的目标,是针对网络入侵还是主机入侵,还是两者兼顾。同时需要考虑要保护的资源和数据类型,以及系统的规模和复杂度。 2. 收集数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值